BD Alaris Gateway munkaállomás sérülékenység

BD Alaris Gateway munkaállomás sérülékenység
Angol cím: BD Alaris Gateway Workstation vulnerability

CH azonosító: CH-14603
Publikálás dátuma: 2019.06.13.
Utolsó módosítás dátuma: 2019.06.14.


Leírás

A BD Alaris Gateway munkaállomás sérülékenysége vált ismertté, amelynek kihasználásával a támadó tetszőleges kódot képes futtatni a  célkeresztben álló rendszeren.


Elemzés leírás

A sérülékenység kihasználása a munkaállomáson futó webböngésző nem megfelelő hozzáférés-ellenőrzésének, illetve a korlátlan fájl feltöltési lehetőségének köszönhető. A sérülékenység lehetővé teszi tetszőleges kód engedély nélküli futtatását, az eszköz állapotának és konfigurációs adatainak megtekintését és szerkesztését, valamint képes az eszközt elérhetetlenné tenni.

Érintett verziók:

Alaris Gateway munkaállomás webböngésző felhasználói felületének sérülékeny verziói:

  • 1.0.13
  • 1.1.3 Build 10
  • 1.1.3 MR Build 11
  • 1.1.5
  • 1.1.6

Alaris Gateway munkaállomás fájlfeltöltés sérülékeny verziói:

  • 1.1.3 Build 10
  • 1.1.3 MR Build 11
  • 1.1.5
  • 1.1.6

Megoldás:

Az eszköz firmware-nek frissítése újabb verzióra.

Elemzés leírás forrása: https://ics-cert.us-cert.gov/advisories/ICSMA-19-164-01 Elemzés leírás utolsó módosítása: 2019.06.14.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Hatás pontszáma: 6.0
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):


Hivatkozások

CVE-2019-10959 - NVD CVE-2019-10959
CVE-2019-10962 - NVD CVE-2019-10962
https://ics-cert.us-cert.gov/advisories/ICSMA-19-164-01
https://www.bd.com/en-us/support/product-security-and-privacy/product-security-bulletins
https://nvd.nist.gov/vuln/detail/CVE-2019-10959
https://nvd.nist.gov/vuln/detail/CVE-2019-10962


Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »